防火墙的大门你到底为谁开？

防火墙的大门你到底为谁开？

《防火墙的大门你到底为谁开？》摘要：防火墙就像电脑的一道安全门，决定其安全性能的有两个要害设置:一个是合理的IP规则配置，另外就是应用程序规则配置(也就是控制应用程序的网络访问)。对于IP规则来说，一套合理的配置方案可以让…

防火墙就像电脑的一道安全门，决定其安全性能的有两个要害设置:一个是合理的IP规则配置，另外就是应用程序规则配置(也就是控制应用程序的网络访问)。对于IP规则来说，一套合理的配置方案可以让所有用户使用，而不必了解其原理。但IP规则对于主动连出的数据传输却难以控制，现在许多反弹端口型木马就是采用服务端主动请求连接客户端的方式进行控制的，使用IP规则就很难对其进行过滤。而通过应用程序规则配置就可以解决这些问题，它可以对应用程序的网络访问进行底层分析拦截。根据应用程序发送和接收的数据类型以及所打开的端口进行规则匹配，从而实现对特定应用程序的数据传输控制，非凡是针对一些非法的木马后门程序非凡有效。但当防火墙提示有应用程序要求访问网络时，是否答应它访问网络，就需要我们来自行判定，这个程序是正常程序还是非法程序，这对于大部分的菜鸟朋友来说，是一个很难选择的问题。下面笔者就以天网防火墙的程序规则为例，介绍如何对应用程序进行分析判定。
小提示
天网防火墙默认设置下，任何应用程序只要向网络发送或接收数据，都会被天网防火墙首先截获分析，并弹出提示窗口，询问是通过还是禁止该程序访问网络，假如你的天网防火墙从来没有出现过这种提示，可以在天网防火墙主界面中单击“系统设置”按钮，取消“答应所有的应用程序访问网络，并在规则中记录这些程序”选项前的选择标记。
根据程序运行特征判定
1.运行后有无反应
正常应用程序在运行后应该出现程序界面，或会在系统托盘增加图标，假如某个程序运行后没有任何反应，或运行后主程序也不见了，却见到防火墙弹出该程序要访问网络的提示，那这个程序多半有问题，有90％的可能就是木马后门类的非法程序，再结合后面的判定方法就一定可以确定它是不是正常程序。
2.程序的“尾巴”要注重
正常应用程序对于网络的访问，应该是我们可知的和可控的，比如说刚运行了QQ进行登录，防火墙出现了QQ程序要访问网络的提示，这是正常的程序请求。但假如同时还会弹出另外的提示窗口说某某程序要访问网络，或者我们一直没有运行任何程序，却忽然弹出提示说有程序要访问网络，那就要格外注重了，很可能是你使用的QQ程序被捆绑了其他的后门程序，或你的系统已经被植入了后门程序，并且可能正被别人控制。
根据端口判定
在天网提示窗口中的“网络信息”栏提供了应用程序的网络访问信息，包括协议、端口和地址(见图1)，如何从这些信息中看出程序是否正常呢？

我们可以把网络中的任何一台计算机看作是一个独立的服务器，而计算机之间的数据数据传输可以看作是相互提供的一种服务，这个服务功能就是通过打开不同的端口来完成的，每个端口对应于该服务器提供的一种服务，通过不同端口，计算机就可以与外界进行互不干扰的数据传输。例如在网络中规定了网页浏览服务的端口为80，那么一台服务器要提供WEB浏览服务，就需要开放HTTP协议的80端口，而用户则需要打开本机的80端口来访问网页。而非法木马后门程序在和控制端进行数据传输时，也是需要在系统中打开端口的，不同的木马会打开不同的端口，这里笔者整理了一些端口定义速查表，其中包含有常见木马的端口号列表(下载地址:http://www.newhua.com/cfan/200516/dklb.txt)，我们可以根据天网防火墙提示的端口号在该文件中搜索，可判定出该文件是不是恶意的木马后门程序。如图1所示天网防火墙的提示窗口中，显示的端口号为“23444”，从速查表中可以判定出它很可能就是网络公牛(netbull)的服务端程序。不过现在大部分木马都具备修改端口号的功能，速查表中的木马端口定义也仅供参考，但根据笔者经验，通常我们碰到的木马多是使用默认端口的。
一台计算机中的端口范围为0～65535，但在这6万多个端口中，有一些端口是已经被系统定义为非凡用途的，通常把端口号1024以下的称为系统保留端口，这些端口所对应的服务程序通常是固定的，这些端口木马一般不会使用，通常情况下，木马会使用较大数值的端口，所以在防火墙提示的端口号数值较大时，就更要引起注重，但也有例外。例如天网防火墙中出现了端口号为“HTTP[80]”的提示(见图2)，你可不要以为它是正常程序就轻易放过了，80端口对应的是网页浏览服务，而这个程序在运行后没有任何反应，说明它不是一个提供网页浏览服务的正常程序，实际上这是黑洞2004的服务端程序，它之所以会使用这个端口，是因为它要使用这个端口向预先定义的域名转向中传送本机IP地址，以供控制端实施控制。